Private Access Tokens, gelesen als Vertrauenssignal.
Die Branche entwickelt kryptografische Attestierungstoken, die belegen, dass eine Anfrage von einem echten Gerät stammt, ohne den Nutzer zu identifizieren. CaptchaLa verarbeitet diese Token, sodass verifizierte Besucher ohne Challenge durchkommen, und greift für alle anderen auf eine risikobasierte Verifizierung zurück. Wir ergänzen die Attestierung, sie ersetzt uns nicht.
Was Attestierungstoken sind
Ein Attestierungstoken ist eine signierte Aussage, dass eine Anfrage von einem echten Browser oder Gerät stammt. Das Gerät weist sich gegenüber seiner Plattform aus, die Plattform stellt ein Token aus, und Ihre Website erhält das Token, anstatt die Person ein CAPTCHA lösen zu lassen. Das Token enthält keine Identität und verfolgt den Nutzer daher nicht über Seiten hinweg.
Im Web baut dies auf Private Access Tokens und Privacy Pass (RFC 9576) auf. Eine neuere Erweiterung, PACT — Private Access Control Tokens —, wurde im Juni 2026 von Cloudflare, Chrome, Firefox, Edge und Shopify vorgeschlagen, um zu erweitern, wie diese Token ausgestellt und verwendet werden.
Ziel ist es, echten Nutzern häufiger Challenges zu ersparen und die Verifizierung dabei von Grund auf privat zu halten.
PACT ist ein früher Vorschlag und von einer breiten Einführung noch Jahre entfernt. CaptchaLa unterstützt den bestehenden Private-Access-Tokens-/Privacy-Pass-Mechanismus bereits heute und verfolgt den Vorschlag in seiner Weiterentwicklung. Nichts davon erfordert, dass Sie warten.
Wie CaptchaLa sie nutzt
Wir behandeln ein Attestierungstoken als eines von mehreren Vertrauenssignalen, nicht als die gesamte Entscheidung. Der Ablauf ist einfach:
Verifiziertes Token, Challenge überspringen
Ist ein gültiges Attestierungstoken vorhanden, prüfen wir es gegen den öffentlichen Schlüssel des Ausstellers. Ein Besucher mit niedrigem Risiko und verifiziertem Token kommt ohne interaktive Challenge durch.
Rückfall auf risikobasierte Verifizierung
Gibt es kein Token oder lässt es sich nicht verifizieren, nutzt CaptchaLa seine eigene Risk-Engine — Geräte-, Netzwerk- und Verhaltenssignale — und zeigt nur dann eine Challenge, wenn die Anfrage verdächtig wirkt.
Wo es funktioniert: Web vs. Native
Attestierung ist nicht überall gleich. Hier das genaue Bild davon, was automatisch funktioniert und was Ihre Konfiguration erfordert.
Web — Private Access Tokens / Privacy Pass
AutomatischIm Web verifiziert CaptchaLa Private Access Tokens gegen den öffentlichen Schlüssel des Ausstellers. Sie müssen nichts einrichten — unterstützte Browser und Geräte erzeugen das Token, und wir lesen es.
iOS App Attest / Android Play Integrity
Optional, von Ihnen konfiguriertDiese nativen Attestierungen sind an die Entwickleridentität Ihrer eigenen App gebunden, nicht an einen öffentlichen Aussteller. Sie können nur als optionales Signal funktionieren, das Sie für Ihre eigene App konfigurieren, und sind daher nicht für alle automatisch.
Native Apps im Übrigen
Unsere eigenen RisikosignaleWo keine Plattform-Attestierung konfiguriert ist, stützen sich native Apps auf CaptchaLas eigene Geräte- und Verhaltensrisikosignale — dieselbe Engine, die auch den Web-Rückfall absichert.
Attestierung sagt "echtes Gerät". Wir ergänzen "echt und ohne Missbrauch".
Attestierung kann bestätigen, dass eine Anfrage von einem echten Gerät stammt. Sie kann nicht sagen, ob dieses Gerät zum Missbrauch Ihres Dienstes verwendet wird. In dieser Lücke liegt der dauerhafte Wert von CaptchaLa — und sie verschwindet nicht, wenn Attestierung ausgeliefert wird.
Credential Stuffing
Echte Geräte, die gestohlene Listen aus Benutzernamen und Passwörtern durchprobieren, wirken für ein Attestierungstoken weiterhin wie echte Geräte. Unsere Risk-Engine erkennt das Muster.
Proxy- und Bot-Farmen
Verteilter Missbrauch von vielen echten Geräten besteht die Attestierung, scheitert aber an der Verhaltens- und Netzwerkbewertung.
OTP- und Anmeldemissbrauch
Massenhafte Kontoerstellung und das Abgreifen von Einmalpasswörtern stammen von echten Telefonen. Wir bewerten die Absicht, nicht nur die Geräteechtheit.
Betrug und Inhaltsmissbrauch
Zahlungsbetrug, Spam und schädliche Uploads betreffen das Verhalten, das die Attestierung nicht misst — und das unsere Risk-Engine und Inhaltsmoderation messen.
Bereit, wenn Attestierung es ist — und schützt Sie schon jetzt.
Kostenloser Tarif inklusive. Keine Kreditkarte erforderlich.